（计算机应用技术专业论文）p2p环境下混合增强型防火墙研究与实现.pdf

p 2 p 环境下混合增强型舫火墙研究与实现摘要 摘要 目前，防火墙通过开放或封闭对应p 2 p 协议传输的默认端口达到对p 2 p 应用的 控制。由于p 2 p 技术的快速发展，如今的p 2 p 软件能够利用动态端口、h t t p 搭载 p 2 p 数据、“u d p 打洞”等技术穿透防火墙，使得防火墙形同虚设。 本文基于以上背景，设计实现出一种p 2 p 环境下混合增强型防火墙，在保留传 统防火墙优点的基础上，引进特征值内容的分析，通过特征值对p 2 p 应用进行有效 的防范和拦截。论文具体研究和实现工作包括以下几个方面： p 2 p 环境下混合增强型防火墙的总体设计。主要包括系统硬件、内核裁减、 安全管理模块、p 2 p 过滤模块与安全策略的设计 冷详细分析了l i n u ) 【2 4 2 0 内核中n e t f i l t e r i p l a b l e s 防火墙框架在i p v 4 协议栈 中的实现机制 夺对典型的5 种p 2 p 应用协议( b i t t o r r e n tp r o t o c o l ，e d o n k e yp r o t o c 0 1 c m u t e l l a p r o t o c o l 。d i r e c t c o n n e c t p r o t o c o l ，f a s t t m c k p r o t o c 0 1 ) 的研究，从其协议数 据包中分析出一个或多个特征值 基于l i n u x 2 4 2 0 内核中n e t f i l t e r i p t a b l e s 防火墙框架，扩展通过特征值识别 p 2 p 应用协议的匹配项，最终可以通过i p t a b l e s 命令配置防火墙过滤规则 夺对典型5 种p 2 p 协议特征值进行测试。主要包括准确性与快速性的测试， 并通过测试证明，在不损失检测效率的情况下，基于特征值可以1 0 0 有 效的识别上述5 种典型p 2 p 应用协议 冷设计并实现防火墙专用s h e l l ( f s h e l l ) ，通过f s h e u 运行特定的防火墙命令 关键词：p 2 p ；防火墙；特征值；n e t f i l t e r i p t a b l e s ：s h e l l 作者：金一( 计算机应用技术) 指导老师：陆建德 垒! ! ! 坚 ! 翌! 坚竺! 竺! 竺! ! 竺! ! ! 兰! ! 苎! ! ! ! ：! ! ! 坚兰! ! 塑兰! ! 竺! 型! ! ! 型! ! ! 竺! ! ! ! ! ! ! 曼! ! ! 翌! ! 竺坐 a b s t r a c t a tp r e s e n t ，f i r e w a l l sc o n t r o lp 2 pa p p l i c a t i o n sb yo p e n i n go rb l o c k i n gt h ed e f a u l tp o r t s o f c o r r e s p o n d i n gp 2 pp r o t o c o l s d u et ot h er a p i dd e v e l o p m e n to f p 2 pt e c h n i q u e ，n o w a d a y s p 2 ps o f t w a r ec a l lp e n e t r a t ef i r e w a l l 、“t hd y n a m i cp o r t s h t t pm e s s a g ew i t he n c a p s u l a t e d p 2 pd a t a ，o r “u d ph o l ep u n c h i n g ”，w h i c hm a k e sf i r e w a l l so f n oa v a i l t h i sp a p e r , b a s e do na b o v eb a c k g r o u n d s ，d e s i g n sa n di m p l e m e n t sa h y b r i de n h a n c e d f i r e w a l lu n d e rp 2 pe n v i r o n m e n t ，w h i c hi n t r o d u c e sc h a r a c t e r i s t i cv a l u ea n a l y s i st og u a r do r b l o c kt h ep 2 pa p p l i c a t i o n s ，w h i l es t i l lk e e p i n gt h ea d v a n t a g e so ft r a d k i o n a lf i r e w a l l s t h e p a p e r ss p e c i f i cw o r ki n c l u d e s ： 夺g e n e r a l l yd e s i g n t h e h y b r i d e n h a n c e df i r e w a l lu n d e rp 2 pe n v i r o n m e n t ， i n c l u d i n gt h ed e s i g no fs y s t e mh a r d w a r e ，k e r n e lt a i l o r i n g ，s e c u r em a n a g e m e n t m o d u l e s ，p 2 pf i l t e rm o d u l ea n ds e c u r i t yo fs t r a t e g i e s 审a n a l y s i z et h ei m p l e m e n t a t i o nm e c h a n i s mo fn e t f i l t e r i p t a b l e s o ff i r e w a l l f r a m e w o r ki nl i n u xk e r n e l2 4 2 0r u n n i n go ni p v 4p r o t o c o ls t a c k 夺o b t a i no n eo rm o r ec h a r a c t e r i s t i cv a l u e st h r o u g ht h er e s e a r c ho nf i v et y p i c 2 ap 2 p p r o t o c o l s ( b i t t o r r e n tp r o t o c o l ，e d o n k e yp r o t o c o l ，g n u t e l hp r o t o c o l ， d i r e c t c o n n e c tp r o t o c o l ，f a s t t r a c kp r o t o c 0 1 ) 夺 e x p a n dm a t c h i n ge n t r i e s w i 血c h a r a c t e r i s t i cv a l u e si d e n t i f y i n gp 2 pp r o t o c o l s b a s e do n n e t f i l t e r i p t a b l e s f r a m e w o r ki nl i n u x2 4 2 0 k e r n e l ，a n df i n a l l y , c o n f i g u r et h ef i r e w a l lf i l t e r i n gr u l e sb yi p t a b l e sc o m m a n d s 夺c a r r yo u ts e v e r a lv e r i f i c a t i o nt e s t st oc h a r a c t e r i s t i cv a l u e so nf i v et y p i c a lp 2 p p r o t o c o l si n c l u d i n ga c c u r a c ya n de f f i c i e n c yt e s t sw h i c hp r o v et h a to u ra p p r o a c h c a ni d e n t i f yf i v ep 2 pp r o t o c o l sw i t l l1 0 0 a c c u r a c yw i t l ln oe f f i c i e n c yl o s s e s 夺d e s i g na n di m p l e m e n tt h es p e c i a l 。s h e l l ( f s h e l l ) o ff i r e w a l lt h a tc a nr u nt h e s p e c i f i cc o m m a n d s k e yw o r d s ：p 2 p ；f l r e w a l l ：c h a r a c t e r i s t i cv a l u e s ；n e t f i l t e r i p t a b l e s ：s h e l l i i w r i t t e nb yj i ny i ( c o m p u t e ra p p l i c a t i o n ) s u p e r v i s e db yl uj i a n d e f7 8 1 4 4 4 苏州大学学位论文独创性声明及使用授权声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进行研究工作所 取得的成果。除文中已经注明引用的内容外，本论文不含其他个人或集体已经发表或 撰写过的研究成果，也不舍为获得苏州大学或其它教育机构的学位证书而使用过的材 料。对本文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人承 担本声明的法律责任。 研究生签名：! 笺：二日期：2 翌：生：羔j 学位论文使用授权声明 苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论文合作部、中国 社科院文献信息情报中心有权保留本人所送交学位论文的复印件和电子文档，可以采 用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论 文的全部或部分内容。论文的公布( 包括刊登) 授权苏州大学学位办办理。 研究生签名： 导师签名： 日期：坦丝兰! f i 期：童煎! 丝塞f p 2 p 环境下混合增强型防火墙研究与实现 第1 章绪论 第1 章绪论 本章首先介绍防火墙现状，p 2 p 给网络带来的安全隐患及p 2 p 软件穿透防火墙 技术分析；然后介绍当前国内外研究现状，提出了目前防火墙在防范p 2 p 应用方面 存在的问题；接着阐述本文要研究和解决的问题，论文的创新工作；并且在本章最 后明确了本文的组织结构 1 1 研究背景 信息化和网络化是当今世界发展的大趋势，由于i n t e m e t 所具有的开放性与共 享性其安全性已成为人们日益关切的问题。在世界范围内，针对计算机网络的攻 击层出不穷，网络犯罪日趋严重，加上p 2 p 技术近几年来迅速流行起来，给网络带 来更大的危害，这样使网络安全问题显得尤为突出。 而在网络安全防范方面，防火墙作为目前使用最为普遍的安全防护措施，在实 际的应用中发挥了巨大的作用。 1 1 1防火墙现状 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网 络安全域之间的网络安全设备。它是不同网络或网络安全域之间信息的唯一出入 口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息流，且本身 具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控 了硇部网和i n t e m e t 之间的任何活动，保证了内部网络的安全【l ”。 防火墙技术可根据防范的方式和侧重点的不同分为很多种类型，但总体来讲可 分为四大类：包过滤、应用代理、状态检测型防火墙及基于安全内核的新一代防火 墙。 包过滤型防火墙：包过滤技术是在网络层对数据包进行选择，是基于一定 的规则对i p 包进行安全检查，这些规则一般基于一个五元组： 。这样包过滤就可以通过检查数 据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组 第1 章绪论p 2 p 环境下混合增强型防火墙研究j 实现 合来确定是否允许该数据包通过。 应用代理型防火墙：应用代理也叫应用网关，它作用在应用层，其特点是 完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序， 实现监视和控制应用层通信流的作用。它工作在o s i 模型的最高层，掌握 着应用系统中可用作安全决策的全部信息。 状态检测型防火墙：状态检测技术采用的是一种基于连接的状态检测机 制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态 表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识 别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其它 相关应用程序的信息，因此，与传统包过滤型防火墙的静态过滤规则表相 比，它具有更好的灵活性和安全性。 基于安全内核的新一代防火墙：新一代的防火墙建立在安全的操作系统之 上，安全的操作系统来自于对专用操作系统的安全加固和改造，从现有的 诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行： 取消危险的系统调用；限制命令的执行权限；取消i p 的转发功能；采用 随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内 核，等等 1 3 l 。 目前，用的比较多的还有复合型防火墙，它是将基于包过滤的方法和基于应用 代理的方法结合起来，形成复合型防火墙产品。这种结合通常有以下两种方案： 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 i n t e r a c t 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器 或防火墙上过滤规则的设置，使堡垒机成为i n t e m e t 上其它节点所能到达 的唯一节点，这将确保了内部网络不受未授权外部用户的攻击。如图1 1 所示： 挖p 环境下混合增强型防火墙研究与实现第t 章绪论 图i 。i 屏蔽主机结构 屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两 个分组过滤路由器放在这一子网的两端，使这子网与i n t e r n e t 及内部网络 分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构 成了整个防火墙的安全基础。如图1 2 所示： 图1 2 屏蔽子网结构 1 1 2p 2 p 给网络带来的安全隐患 随着互联网的普及和宽带技术的发展。以p 2 p 技术为核心的软件产品正在被越 来越多的网民所接受和喜爱。自2 0 0 0 年开始，国内外多家p 2 p 产品纷纷问世，其 第l 章绪论 p 2 p 环境下混台增强型防火墙研究与实现 中以国外n a p s t e r 、g r o o v e 、o p e n c o l a 等与国内o p e n e x t 、k u g o o 、p o c o 等为代 表的p 2 p 产品在短短几年时间，用户的注册量不断增长，已成为许多网民不能离弃 的上网伙伴。 p 2 p ，全称叫做 p e e r - t o - p e e r 萍j 等互联网络技术( 点对点网络技术) ，p 2 p 技术 不同于c l i e n t s e r v e r 的网络架构，它不需要s e r v e r ，是一种分散式计算。它让用户 可以直接连接到其他用户的计算机，进行文件共享与交换。 p 2 p 最显著的特点就是改变了互联网现有以门户网站为中心的这种大型的网状 结构，它重新给予了“非中心化”结构中网络用户应有的权力，也就是说网络应用的 核心从中央服务器向网络边缘的终端设备扩散：服务器到服务器、服务器到p c 机、 p c 机到p c 机、p c 机到w a p 手机，所有网络节点上的设备都可以建立p 2 p 对话。 这使人们在i n t e m e t 上的共享行为被提到一个更高的层次。 与此同时，p 2 p 通信技术也带来了很多安全性隐患使一些具有较高安全意识 的企业用户不愿意采用它。这些安全性隐患主要分为两类：一类是设计造成的，一 类是开发造成的。开发造成的安全隐患主要包括缓冲溢出缺陷、后门和蠕虫威胁： 设计上的安全隐患使p 2 p 软件能够穿透防火墙，绕过i d s 和防病毒软件的监测。 这些隐患具体体现如下： 突破防火墙。任何在网络内部，具有w e b 浏览权限的用户，可以通过一 个外部的代理服务器或特定的未被禁止的端口，将信息发送到外部网络， 这样防火墙已经不再能发挥作用。因为很多p 2 p 软件都允许用户选择使用 的端口或系统动态分配端口，甚至有的p 2 p 应用可以利用h t t p 协议及 “u d p 打洞”等技术穿透防火墙，使得两个都在各自防火墙后面的p e e r 可以互相传输通讯。 绕过防病毒网关。象电子邮件能携带附件一样，p 2 p 软件能把文件通过点 对点方式传出去，绕过网络边界防御设施。这是因为点对点通道直接通向 个人电脑。这样，带有病毒的文件也能够用点对点通信方式从外面传进来， 这时，防病毒网关软件是不能发现的。p 2 p 软件能轻易将病毒、蠕虫和特 洛伊木马程序带到一个原本干净的网络环境。 易于被黑客攻击。黑客可以利用p 2 p 软件的特点获得用户工作站的控制权 限，并以这台机器为跳板，向这个局部网络上的其它机器发动攻击。 吞噬网络带宽。p 2 p 使网络变得空前活跃，大多数用户愿意利用p 2 p 网络 在计算机之间传送文件，这将大量吞噬网络带宽，特别是在大多数用户传 送大体积的m p 3 文件、视频文件的时候，这个问题更加不容忽视。 p 2 p 环境下混合增强型防火墙研究与实现 第1 章绪论 1 1 3对典型p 2 p 软件穿透防火墙的技术分析 目前，p 2 p 软件一般通过下面三种方法穿透防火墙： 动态分配端口。大多数p 2 p 软件都具有系统动态分配端口及探测可用端口 的功能。其中。可用端口就是防火墙未封闭的端口，p 2 p 软件可以通过探 测发现可用端口，并通过该端口进行传输，成功穿透防火墙。 利用h t t p 协议。目前，有许多p 2 p 软件具有h t t p 代理的功能，如：腾 讯q q 等，将p 2 p 应用报文封装进一个 哪报文中，即伪装成h t t p 请求，应答报文，而对于防火墙来说，m 1 p 协议通常是不拦截的，这样一 来，p 2 p 软件可以成功穿透防火墙。 利用“u d p 打洞”技术。u d p 打洞技术依赖于公共防火墙和c o n e n a t ， 允许适当的有计划的端对端应用程序通过n a t 打洞”，即使当双方的主机 都处于n a t 之后。这种技术在r f c 3 0 2 7 的5 1 节 n a t p r o t 中进行了重 点介绍，并且在i n t e m e t k e g e l o p 进行了非正式的描叙，还应用到了最 新的一些协议，t c j 如 t e r e d o ，i c e 】协议中【1 】。其主要思想是利用第三方 服务器( s ) ，比如：处于不同n a t 之后的两个客户端c l i e n t a 、c l i e n t b ， 在正常情况下，c l i e n t a 想与c l i e n t b 建立一条u d p 通信直连是不可能的。 但是，当c l i e n ta 开始发送一个u d p 信息到c l i e n tb 公网地址上，与此 同时，c l i e n t a 通过第三方服务器( s ) 中转发送一个邀请信息给c l i e n tb ， 请求c l i e n tb 也给c l i e n t a 发送一个u d p 信息到c l i e n t a 的公网地址上， 这将导致n a t a 打开一个c l i e n t a 的私有地址和c l i e n t b 的公网地址之间 新的通信会话，与此同时，n a t b 也打开一个c l i e n t b 的私有地址和c l i e n t a 的公网地址之间新的通信会话。这样一来，c l i e n ta 与c l i e n tb 之间就 可以直接通信，成功穿透防火墙。 1 2 国内外研究现状 目前国外知名的防火墙品牌有c h e c kp o i n t 公司的f i r e w a l l - l 、c y b e r g u a r d 公司 的c y b e r g u a r df i r e w a l l 、w a t c h g u a r dt e c h n o l o g y 公司的w a t c h g u a r ds e c u r i t ys y s t e m 、 c i s c o 的p i x 等。国内防火墙生产厂商众多，比较著名的有北京天融信、上广电、 上海华依、广州天网、清华得实、东大阿尔派等。 下面就国内外两种有代表性的防火墙产品的性能特点做一个概括性的比较： 第1章绪论p2p环境下混台增强型防火墒研究0实现 c h e c kp o i n t 公司的f 沁w a l l - l ：c h e c k p o i n t 公司是最早将状态检测技术应 用到防火墙产品的公司，其f i r e w a l l l 系列防火墙也在全世界的市场占有 率壤高。f i r e w a l l 1 防火墙具有支持多种认证手段、提供n a t 地址转换、 内容的安全管理( h t t p 、f t p 、s m t p ) 、病毒扫描以及详尽而灵活的网 络审计等功能【2 j 。 广州天网公司的s k y n e tf i r e w a u 系列防火墙：天网系列防火墙分为工作组 级、企业级及电信级等多种应用等级。分别适用于小型、中型与大型的网 络应用。天网防火墙采用硬件集成设计，采用专用的网络操作系统s n o s ( s k y n e to s ) ，防火墙与系统内核融为一体。它采用了w b m ( w e bb a s e m a n a g e m e n t ) 管理界面，具有通用直观盼特点。系统采用中国化的设计， 不单是界面全中文化，还提供了符合中国国情的全文过滤系统。系统还具 有透明代理、u r l 统计拦截、双机热备及可选的v p n 虚拟专用网等功能 【3 1 。 可以看出，这些防火墙产品功能都十分强大。但都没有专门针对p 2 p 应用的拦 截防范设计，目前，只是采用传统防火墙的解决办法一一通过开放或封闭对应p 2 p 协议传输的默认端口达到对p 2 p 应用的控制，如：b i t t o r r e n t p r o t o c o l 采用默认端口 6 8 8 1 6 8 8 9 传输，防火墙只是通过开放或封闭端口6 8 8 1 6 8 8 9 来控制b i t t o r r e n t 应用。这些传统措施对于拦截防范那些能够利用动态端口、唧搭载p 2 p 数据、 u d p 打洞”等技术传输的p 2 p 应用是远远不够的。 1 3 论文意义及研究工作 综上所述，随着互联网的普及和宽带技术的发展，以p 2 p 技术为核心的软件产 品正在被越来越多的网民所接受和喜爱，并且已成为许多网民不能离弃的上网伙 伴。然而，在企业网络中，p 2 p 应用有时会对网络可用性造成严重影响，耗尽网络 出f 3 带宽，还可能成为病毒传播的途径，其共享文件带来的版权问题也有可能给企 业带来潜在的法律责任。 目前，防火墙通过开放或封闭对应p 2 p 协议传输的默认端口达到对p 2 p 应用的 控制。由于p 2 p 技术的快速发展，如今的p 2 p 软件能够利用动态端口、h t t p 搭载 p 2 p 数据、“u d p 打洞”等技术穿透防火墙，使得防火墙形同虚设。 本文基于以上背景，设计并实现出一种p 2 p 环境下混合增强型防火墙，在保留 传统防火墙优点的基础上，引进特征值内容的分析，通过特征值对p 2 p 应用进行有 p 2 p 环境下混合增强型防火墙研究与实现 第1 章鳍论 效的防范和拦截。论文具体研究和实现工作包括以下几个方面： p 2 p 环境下混合增强型防火墙的总体设计。主要包括系统硬件、内核裁减、 安全管理模块、p 2 p 过滤模块与安全策略的设计。 详细分析了l i n u x 2 4 2 0 内核中n e t f i l t e r i p t a b l e s 防火墙框架在i p v 4 协议栈 中的实现机制。 对典型的5 种p 2 p 应用协议( b i t t o r r e n tp r o t o c o l ，e d o n k e yp r o t o c o l ，g n u t e t l a p r o t o c o l ，d i r e c t c o n n e c tp r o t o c o l ，f a s t t r a c kp r o t o c 0 1 ) 的研究，从其协议数 据包中分析出一个或多个特征值。 基于l i n u x 2 4 2 0 内核中n e t f i l t e r i p t a b l e s 防火墙框架，扩展一个通过特征值 识别p 2 p 应用协议的匹配项，最终可以通过i p t a b l e s 命令配置防火墙过滤 规则。 对典型5 种p 2 p 协议特征值进行测试。主要包括准确性与快速性的测试， 并通过测试证明，在不损失检测效率的情况下，基于特征值可以1 0 0 * a 有 效的识别上述5 种典型p 2 p 应用协议。 设计并实现防火墙专用s l m l l ( f s h e l l ) ，通过f s h e l l 运行特定的防火墙命令。 本课题的研究意义在于： 夺防火墙研究具有较高的实用价值，虽然现在市场上早已出现了多种成熟的 防火墙产品，但是对于中低端的应用来说，提供性能可靠、价格低廉的防 火墙选择还不多。开发基于l i n u x 增强型防火墙具有开发速度快、成本低 廉的优点，可以很好地满足这类需求。 防火墙技术综合了多种网络安全技术，分析、研究、跟踪目前国际、国内 最新的网络安全技术与防火墙技术，对于自身网络及网络安全知识是一次 系统而深入的学习，本课题的研究与开发也是在网络安全领域安全产品设 计的一次有益探索。 夺l i n u x 操作系统为防火墙的研究提供了一个很好的切入点。它是开放源码， 没有如人们对微软w i n d o w s 系统那样的安全隐患，本身具有较高的安全 性，且便于学习与进一步开发，通过在其上进行防火墙项目的开发。对 l i n u x 内核与t c p i p 协议栈的分析与认识可以更加彻底与深化，对于国外 系统软件的研究也会更加深入，这对今后设计自己的具有独立知识产权的 系统软件产品也很有借鉴意义。 第l 章绪论p 2 p 环境下混合增强型骑火墙研究与实现 1 4 论文创新工作 通过对5 种典型p 2 p 应用协议的深入研究，从协议数据包中分析出一个或多个 特征值，提出了一个基于p 2 p 特征值在i p 层上识别p 2 p 应用协议的想法，扩展了 一个基于特征值防范p 2 p 应用的防火墙功能。并通过测试证明，在不损失检测效率 的情况下，基于特征值可以1 0 0 有效的识别上述5 种p 2 p 协议，比目前通过默认 端口识别其协议要准确的多。 1 5 论文结构与内容安排 本论文体系分为八章，各章内容安排如下： 第一章为概述，简单介绍防火墙现状、p 2 p 给网络带来的安全隐患、防火墙研 究背景和当前国内外的研究现状。接着阐述本文要研究和解决的问题以及论文的创 新工作； 第二章介绍p 2 p 环境下混合增强型防火墙的总体设计，主要包括系统硬件、内 核裁减、安全管理模块、p 2 p 过滤模块与安全策略的设计； 第三章介绍n e t f i l t e r i p t a b l e s 框架的实现机制，对它的架构进行细致地分析，这 一章也是下面进一步开发的基础； 第四章重点研究5 种典型p 2 p 应用协议，从其协议数据段中提取出特征值。其 中，在不损失检测效率的情况下，如何减少特征值的维数，这是从数据段中提取特 征值的关键所在； 第五章介绍基于n e f f i l t e r i p t a b l e s 框架，p 2 p 过滤模块的设计与实现，主要包括 核内与核外两个方面的设计与实现： 第六章重点对分析出来的p 2 p 特征值进行测试与评估，主要从准确性与快速性 两方面进行测试； 第七章介绍防火墙专用s h e l l ( f s h e l l ) 的设计与实现； 第八章对全文作出总结并提出进一步开发的构想。 p 2 p 环境下混合增强型防火墙研究与实现 第2 章h e f u p e 原型系统总体设计 第2 章h e f u p e 原型系统总体设计 本章首先介绍h b f u p e 原型系统的组成，接着对其硬件结构、安全内核裁减、 安全管理模块、p 2 p 包过滤模块及安全策略做了一个总体的设计，并搭建了h e f u p e 原型系统的实验环境。 2 1 h e f u p e 原型系统组成 本课题设计的p 2 p 环境下混合增强型防火墙( h y b r i de n h a n c e df i r e w a l lu n d e r p 2 pe n v i r o n m e n t ，下文简称皿f u p e ) 可以分为五层，如图2 1 所示： 应用 s s hw e b 远程管理模块 f s h e l l 精简的系统g l l b c 荤 防火墙功能模块 安全精简的l i n u x 内核 ( l k m ) f l a s h 硬件 ( 固化的程序) 图2 1h e f u p e 原型系统组成 防火墙管理层 s h e u 系统库 内核层 硬件层 最底层是系统运行的硬件平台课题采用i n t e l 的x 8 6 体系结构；再往上是软 件系统，包括两层，l i n u x 内核层和系统g l i b c 库，在l i n u x 内核中，根据防火墙的 设计要求，需要在防火墙n e t f i l t e r i p t a b l c s 框架下增强防火墙的功能，对于采用e l f 格式的应用程序，可以在运行时动态链接库函数，所以需要将g l i b c 共享库置于系 统中以供链接：再上层是f s h e l l ：最上层是防火墙管理层，是与防火墙服务有关的 应用程序和管理配置防火墙的应用程序。 2 2h e f u p e 原型系统硬件结构设计 此类防火墙的硬件设计通常有两种途径，种是基于专用嵌入式处理器( 如 m o t o r o l a ，a r m 等专用嵌入式处理器) 开发专用的硬件设备，一种是基于传统x 8 6 架构的硬件设计。其各自优缺点的比较如下表所示： 9 第2 章h e f u p e 壤型系统总体设计 p 2 p 环境下混合增强型防火墙研究与实现 表2 i ：不同硬件平台的比较 i 镶黻塞浚褥魏囊豢囊毫濑壤舞臻稳劳鬻g 攀：j 琴l 裂麓雾囊l 鹰蘩8 臻妫誊i 董。 硬件开发周期长，需要专门设计短有较多通用部件供选用 调式手段调式困难需要专门辅助工具调试容易，可以在普通p c 上开发 硬件成本大规模生产时成本低采用x 8 6 架构主板和芯片，价格较高 综合以上特点，本次设计采用以x 8 6 架构为基础的硬件平台，这样的优点是可 以省去硬件设计的麻烦，从而可以把主要精力放在防火墙软件和功能模块的设计 上。防火墙的硬件配置如下： 主板：采用专为网络应用设计的工控板，集成三个1 0 1 0 0 m 以太网口和一个串 行口 c p u ：p e n t i u m l u 8 0 0 m h z r a m ：2 5 6 兆s d r a m r o m ：3 2 兆i d e 接口f l a s h 硬盘 2 3 l i n u x 内核裁减设计 h e f u p e 原型系统在内核设计上，基于精简的l i n u x 2 4 2 0 内核，采用一体化 的硬、软件设计，去除对标准输入输出设备的支持，仅提供多个以太网口及通用串 口作为配置手段，并对l i n u x 上网络核心进行优化处理。对于内核的裁减主要通过 以下方面进行： 内核的定制及启动脚本的自定义。根据硬件设备和具体应用的特殊要求， 对l i n u x 系统进行定制，是构造嵌入式l i n u x 最简单、直接的方法。在分 析防火墙应用对内核的需求后，通过使用内核配置命令i l a k c m e n u c o n f i g ， 删除内核中大量的防火墙应用所用不到的设备驱动及模块，减小内核体 积。采用此方法，内核镜像大小可以从1 4 0 0 k 减小到6 0 0 k 。另外，在系统 启动时，s t a r t函数会初始化和内存，而进程完成设备的k e m e l o c p ui n i t 检测以及初始化工作。i n i t 进程依赖三个脚本文件内容来决定它检测何种 硬件设备。本课题设计的h e f u p e 原型系统的硬件设各，和普通p c 的硬 件设备有很大不同，需要通过自定义i n i t t a b 脚本、r c ，s y s i n i t 脚本和特定运 行级别脚本来删除不必要的设备检钡4 以及冗余服务的启动。 目录项缓存机制与p r o c 文件系统的分析、裁减设计。在定制内核和自定义 启动脚本后，需要从源代码层次上对l i n u x 系统进行裁减。本课题设计的 p 2 p 环境下混台增强型防火墙研究与实现第2 章h e f u p e 原型系统总体设计 h e f u p e 原型系统，对文件子系统的操作相对较少，仅在系统初始化及配 置时使用，所以可将其作为内核源码裁减的突破口。 p r o c 文件系统的分析、裁减设计。p r o c 文件系统并不存在于任何硬件设备 上，而是建立在内存中，用来查看系统信息。在本课题设计的h e f u p e 原型系统中，用户不能直接操作文件系统，且p r o c 文件系统会占用相对宝 贵的资源，因此可作为裁减的入手点。 系统g l i b c 库的裁减。由于共享库文件在应用程序运行时被动态加载，所 以它们必须存在于系统中才能支持应用程序的正常运行。而通用l i n u x 自 带的g l i b c 库规模太大，可以根据应用程序的库函数需求，删除用不到的 库函数，重新构造新的共享库文件。可执行链接格式( e 1 0 文件是l i n u x 共 享库实现的基础。通过分析其格式规则和符号类型的含义后，发现函数的 未定义符号代表着本函数对其它库函数的依赖，因此可以作为g l i b c 库裁 减的入手点。 本次设计重点在于对防火墙高级功能的实现，硬件及精简与安全增强l i n u x 内 核的开发由本课题组其他同学完成，因此在开发阶段暂时采用标准版2 4 2 0 内核。 待防火墙专用硬件及精简与安全增强l i n i x 操作系统开发成功再移植过去。 2 4h e f u p e 安全管理模块设计 本课题设计的h e f u p e 安全管理模块提供三种安全管理方式，总体设计如图 2 2 所示： 第2 章h e f u p e 粮型系统总体设计 p 2 p 环境下混台增强型舫火墙研究与j 妻现 图2 2h e f u p e 安全管理模块总体设计 通过w e b 浏览器在内部网的其它机器上远程管理。为保证安全，缺省情 况下设置只允许特定i p 地址的内网主机通过s s l 访问此服务，并引入身 份认证与分级管理机制，由管理员在初次登录的时候设置允许管理防火墙 的主机i p 及管理员密码。由于h e f u p e 原型系统硬件环境存储设备是3 2 m 的f l a s h ，而l i n u x 自带的a p a c h e 服务器安装时最少需要5 0 m b 磁盘空 间，安装后需要1 0 m b 以上的使用空间，并且a p a c h e 中有大量的功能 本系统涉及不到，所以从设计的目标、环境、安全考虑出发，自行设计一 个短小精干、安全性高的w e b 服务器。 通过s s h 远程登录防火墙。s s h 服务是用来替代t e l n e t 的安全远程登录服 务，它对传输过程中的数据进行加密，可以有效防止网络嗅探等手段截取 管理员登录帐号。对s s h 服务的访问策略为只允许内部网段的i p 登录， p 2 p 环境下混台增强型防火墙研究与实现第2 章h e f u p e 原型系统总体设计 并且为防止用户使用其它无关的l i n u x 命令，应去除系统中原有的s h e l l ， 另设计防火墙专用s h e l l ( f s h e l l ) 以便只运行特定的防火墙命令。 通过串行口直接对防火墙进行控制与配置。在这种方式下，通过串行线将 防火墙与另一台计算机相连，控制端计算机通过超级终端进入安全s h e l l ( f s h e l l ) ，通过控制台界面管理防火墙。这种方式给用户提供一个在其它 方式都失效的情况下管理防火墙的最后手段。 通过w e b 浏览器在内部网的其它机器上远程管理防火墙的开发由本课题组其 他同学完成，本次设计重点完成防火墙专用s h e l l ( f s h e l l ) 及相关命令的开发，具体 设计与实现将在第七章中详细论述。 2 5p 2 p 包过滤模块设计 l i n u x 2 4 2 0 内核的n e t t i l t e r i p t a b l e s 防火墙框架具有比较完整的包过滤功能，本 课题设计的p 2 p 包过滤模块就是基于内核中的n e t f i l t e r i p t a b l e s 框架，以 n e t t i l t e r i p t a b l e s 框架的包过滤功能为基础，通过扩展i p t a b l c s 功能在i p 层实现对p 2 p 网络中5 种比较典型协议的控制，最终可以通过i p m b l e s 命令来配置防火墙，并可 以通过上述的三种管理方式对i p t a b l e s 命令进行调用，以配置防火墙的包过滤规则。 具体设计与实现将在第五章中详细论述。 2 6i - i e f u p e 安全策略 防火墙的安全策略是防火墙系统的重要组成部分。一个具有完善的软硬件功能 的防火墙系统，如果设置了不完善的过滤规则，将严重影响它的安全性能。h e f u p e 原型系统的安全策略主要包括以下几个方面： 1 防火墙硬件的安全：这一方面的安全主要由防火墙的使用者具体实施，主 要原则是尽量避免无关人员的接触，务必保证物理上的安全。 2 防止针对防火墙操作系统的攻击主要采用以下手段： 使用s s h 登录取代t e l n e t 方式对防火墙进行远程管理，同时限制只能 从内部网段登录防火墙的s s h 服务。 对基于w e b 的防火墙管理加入s s l 的支持，同时限制只能从特定的 i p 以w e b 方式登录防火墙。 至少设置两个级别的管理员帐户，根据最小特权原则对用户的权限和 第2 章h e f u p e 原型系统总体设计p 2 p 环境下混台增强型防火墙研究j 实现 功能进行限制。 将管理员登录防火墙后的操作写入日志以备查询。管理员操作的日志 由防火墙定期自动整理，不能被直接修改或删除。 3 防火墙的包过滤策略：在本次设计中，对h e f u p e 的包过滤规则采用缺省 拒绝的策略；对w e b 过滤采用缺省允许的策略。 2 7h e f u p e 实验环境 在实验环境中，通过i p t a b l e s 命令实现透明代理，使内网的工作站能够通过透 明代理访问出去。命令如下： i p t a b l e s - t n a t a p o s t r o u t i n g s1 9 2 1 6 8 1 3 2 0 2 4 - js n a t - t o s o u r c e2 1 0 2 9 1 7 4 1 3 1 在内网工作站( 1 9 2 1 6 8 1 3 2 1 2 2 4 ) 上安装要分析其协议数据包的5 种p 2 p 客 户端工具：b i t t o r r e n ts 5 8 7p l u s14 0b e t a2 ，d c p i u s - 0 4 0 3 e n ，e m u l e - 0 4 3 b ，k a z a a l i r e ， s h a r e a z a2 1 0 0 ，并在工作站( 1 9 2 1 6 8 1 3 2 1 1 2 4 ) 上安装s n i f f i e rp r ov 4 ，6 ，来抓 取它们的数据包；在外网工作站( 2 1 0 2 9 1 7 4 1 6 2 2 4 ) 上搭建b t 服务器 m y b t s e r v e r v l 0 g b ，d c 服务器o p e n d e d 一0 5 8 ，g n u t e l l a 工具s h a r e a z a 一2 1 0 0 ，在工 作站( 2 1 0 2 9 1 7 4 1 3 8 2 4 ) 上搭建e d o n k e y 服务器e s e r v e r - 1 6 4 9 i 6 8 6 一l i n u x 。h e f u p e 原型系统实验环境如下图： p 2 p 环境下混台增强型防火墙研究与实现 第2 章h e f u p e 原型系统总体设计 图2 3h e f u p e 实验环境 5 第3 章n e t f i l t e r i p t a b l e s 实现机制分析 p 2 p 环境下混合增强型舫火墙研究与实现 第3 章n e t f i l t e r i p t a b l e s 实现机制分析 h e f u p e